Научная статья на тему 'НЕКОТОРЫЕ УСЛОВИЯ ПРИМЕНИМОСТИ ИНТЕГРАЛЬНОГО МЕТОДА К ЧЕТЫРЁМ РАУНДАМ AES-ПОДОБНЫХ АЛГОРИТМОВ'

НЕКОТОРЫЕ УСЛОВИЯ ПРИМЕНИМОСТИ ИНТЕГРАЛЬНОГО МЕТОДА К ЧЕТЫРЁМ РАУНДАМ AES-ПОДОБНЫХ АЛГОРИТМОВ Текст научной статьи по специальности «Математика»

CC BY
42
10
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
БЛОЧНЫЕ АЛГОРИТМЫ / AES / SQUARE / RIJNDAEL / CRYPTON / СПЕКТРАЛЬНЫЕ КОЭФФИЦИЕНТЫ / ИНТЕГРАЛЬНЫЙ МЕТОД

Аннотация научной статьи по математике, автор научной работы — Панков Константин Николаевич

Получен ряд необходимых и одно достаточное условие того, что к блочным алгоритмам, построенным аналогично алгоритму AES (например, SQUARE, Rijndael, Crypton) с уменьшенным до четырёх числом раундов может быть применён интегральный метод криптоанализа. Приведены данные экспериментов о применении интегрального метода к алгоритму Rijndael.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

SOME CONDITIONS FOR THE APPLICABILITY OF THE INTEGRAL CRYPTANALYSIS TO 4-ROUNDS OF AES-LIKE CIPHERS

A number of necessary conditions and one su cient condition are obtained so that the integral cryptanalysis can be applied to block algorithms constructed similarly to the AES algorithm (i.e., SQUARE, Rijndael, Crypton) with a reduced number of rounds to four, which are denoted as f1; f2; f3; f4. For example, it was proved that if we consider the multiset fyj(x) 2 V8 : x 2 Iig, where Ii = f(B0; : : : ;Bi􀀀1; z;Bi+1; : : : ;B15) : z 2 V8g, the subvector Bi = z, i 2 f0; : : : ; 15g, takes all possible values from V8, and the other data block subvectors are xed, (y0(x); : : : ; y15(x)) = f4 f3 f2 f1(x; k 0), k 0 is the true key, then a necessary condition for obtaining information about the fourth round key k4;j by the integral method is: the subset Y j = f 2 V8 : jfx 2 Ii : yj(x) = gj = 2k􀀀1; k 2 Ng is not empty. The experimental data on the application of the integral method to the Rijndael algorithm are presented.

Текст научной работы на тему «НЕКОТОРЫЕ УСЛОВИЯ ПРИМЕНИМОСТИ ИНТЕГРАЛЬНОГО МЕТОДА К ЧЕТЫРЁМ РАУНДАМ AES-ПОДОБНЫХ АЛГОРИТМОВ»

1) р1 = 1 и рг = р*— — ^ при 2 ^ г ^ п;

2) adp®(а,в,7) = Рг ^^ тройка (а, в, 7) получается из тройки (0, 2п-г, 2п-г) композицией следующих преобразований, сохраняющих значение adp® [8]:

а) перестановка элементов тройки;

б) (а, в, 7) ^ (а 0 2п-1,в 0 2га-1,7);

в) (а, в, 7) ^ (±а, ±в, ±7), где ±а обозначает а или —а mod 2П. Замечание 1. Если adp®(а,в,7) = Рг для 1 ^ г ^ п из теоремы 2, то

adp®(а,в,7) ^ 1/4.

Из теоремы 2 нетрудно получить количество разностей, на которых достигаются данные максимальные значения. Обозначим количество разностей (а,в,7), а,в,7 Е Е Zn, на которых достигается adp®(a,e,7) = Pi, как Cj. Следствие 2. Для Ci верны следующие утверждения:

- Ci = 4, C2 = 24;

— C3 = C4 = ... = Cn = 48.

ЛИТЕРАТУРА

1. Shimizu A. and Miyaguchi S. Fast data encipherment algorithm FEAL // LNCS. 1988. V. 304. P. 267-278.

2. Wheeler D. J. and Needham R. M. TEA, a tiny encryption algorithm // LNCS. 1995. V. 1008. P. 363-366.

3. Bernstein D. J. Salsa20 specification. eSTREAM Project algorithm description. http://www. ecrypt.eu.org/stream/salsa20pf.html. 2005.

4. Beaulieu R., Shors D, Smith J, et al. The SIMON and SPECK Families of Lightweight Block Ciphers. https://eprint.iacr.org/2013/404.

5. Biham E. and Shamir A. Differential cryptanalysis of DES-like cryptosystems //J. Cryptology. 1991. No. 4. P. 3-72.

6. Mouha N., Velichkov V., De Canniere C., and Preneel B. The differential analysis of S-func-tions // LNCS. 2011. V. 6544. P. 36-56.

7. Lipmaa H. and Moriai S. Efficient algorithms for computing differential properties of addition // LNCS. 2002. V. 2355. P. 336-350.

8. Mouha N., Kolomeec N., Akhtiamov D., et al. Maximums of the additive differential probability of Exclusive-Or // IACR Trans. Symmetric Cryptology. 2021. No. 2. P. 292-313.

УДК 519.7 DOI 10.17223/2226308X/15/15

НЕКОТОРЫЕ УСЛОВИЯ ПРИМЕНИМОСТИ ИНТЕГРАЛЬНОГО МЕТОДА К ЧЕТЫРЁМ РАУНДАМ AES-ПОДОБНЫХ АЛГОРИТМОВ

К. Н. Панков

Получен ряд необходимых и одно достаточное условие того, что к блочным алгоритмам, построенным аналогично алгоритму AES (например, SQUARE, Rijndael, Crypton) с уменьшенным до четырёх числом раундов может быть применён интегральный метод криптоанализа. Приведены данные экспериментов о применении интегрального метода к алгоритму Rijndael.

Ключевые слова: блочные алгоритмы, AES, SQUARE, Rijndael, Crypton, спектральные коэффициенты, интегральный метод.

Современное состояние систем защиты информации характеризуется наличием так называемого квантового вызова. Появление квантового компьютера с соответствующим набором характеристик, которые, согласно мнению ряда экспертов, будут достигнуты в ближайшее десятилетие, приведёт к потере некоторыми существующими системами защиты информации или отдельными их элементами своего практического значения. Таким образом, актуальной становится задача разработки, исследования и программно-аппаратной реализации криптографических примитивов, которые смогут противостоять квантовому вызову. В настоящее время существует несколько подходов к решению данной проблемы, одним из которых является использование симметричных криптографических систем, стойкость которых понизится с появлением гипотетического квантового вычислителя незначительно. Поэтому продолжает оставаться актуальным вопрос об оценке криптографической стойкости симметричных шифр-систем, применяемых как в современных информационно-телекоммуникационных системах, так и в системах интернета вещей (IoT). Отметим, что, согласно информации, приведённой в [1, 2], в условиях ограниченных ресурсов в системах IoT наиболее рационально использовать алгоритмы блочного шифрования. В соответствии с [3] одним из основных методов криптоанализа подобных алгоритмов является интегральный метод.

Интегральный метод, впервые названный так в [4], предложен в работе [5] и является развитием метода из [6]. Этот метод ещё называют square-атака [5] или saturation-атака [7] (метод квадрата и метод статистического насыщения). Он аналогичен по схеме применения известному дифференциальному методу, также являясь атакой на основе адаптивно подобранного открытого текста [8].

Общую схему метода можно описать следующим образом. Преобразование Fk, реализуемое блочным алгоритмом шифрования и зависящее от ключа к, представляется как композиция двух отображений Fk = Fj2 о F^. Допустим, что имеется такое множество I С X блоков открытого текста, что «интеграл» ^ F^ (x) обладает определённым

xei

легко проверяемым «отличительным» свойством (например, равен нулевому ветору).

Предположим, что известны пары «открытый — шифрованный текст» (x, Fk (x)) для

всех x G I. Тогда для любого к можно определить элемент (F2) 1 (Fk (x)), который

xei

при истинном варианте k должен обладать «отличительным» свойством «интеграла».

Применению различных модификаций интегрального метода к ряду блочных шифрсистем, поиску путей развития этого метода и изучению связанных с ним характеристик посвящён ряд работ [9-12].

Интегральный метод в основном применяется к блочным алгоритмам с малым числом раундов, например к редуцированным вариантам AES [13] или Кузнечика [14], что является актуальным именно в условиях низкоресурсной криптографии.

Рассмотрим вопрос об условиях возможности применения интегрального метода к системам шифрования типа AES (алгоритмы SQUARE, Rijndael, Crypton) с четырьмя итерациями G = /4* о /3 о /2 о f1, в которой первые три итерации f1, /2, /3 обычные (но, например, в первую итерацию Rijndael мы включаем прибавление к блоку открытого текста начального ключа), а последняя итерация /4 может отличаться (например, в Rijndael она не содержит преобразования MixColumn). Схемы примения интегрального метода к перечисленным алгоритмам рассматриваются в работах [5, 15, 16].

Промежуточный блок после третьей итерации обозначим через E (x, ко) = = (E0 (x, к0) ,..., E15 (x, к0)), где к0 — ключ начального преобразования в терминах [17]. При фиксированном к0 его можно рассматривать в обозначениях [18] как вектор-функцию E (x, к0) = Ek0 (x) : Vm ^ Vm, E (x, к0) = /з ◦ /2 о /1 (x, к0).

Пусть подвектор Bi = z, i Е {0,..., 15}, принимает все возможные значения из V8, а остальные подвекторы блока данных фиксированы. Полученное множество обозначим Ii = {(B0,... , Bi-1, z, Bi+1,... , B15) : z Е V8}. Рассмотрим для каждого индекса m Е

Е {0,..., 15} при фиксированном k0 Е V128 значение интеграла Em (x, k0).

xeii

Теорема 1. В AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций для любого непустого множества J С {1 + 8s,... , 8 + 8s}, s Е {0,... , 15}, и любого множества I = {1,... , 128} \ {8/ + k : k = 1,... , 8}, / Е {0,... , 15}, для отображения E (•, k0) при фиксированном ключе k0 Е V128 в обозначениях [18] верно, что

^ Em (x, k0) = 0.

xeii

Следствие 1. В AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций для любого непустого множества J С {1 + 8s,... , 8 + 8s}, s Е {0,... , 15}, и любого множества I = {1,... , 128} \ {8/ + k : k = 1,... , 8}, / Е {0,... , 15}, для отображения E (•, k0) при фиксированном ключе k0 Е V128 в обозначениях [18] верно, что

wJ (Efco (x)) = 0 (mod 2).

Следствие 2. В условиях следствия 1 в обозначениях [19] выполняется

AJ (Efco (x)) = 0 (mod 2).

Предположим, что нам известно 256 пар открытого и шифрованного текстов (x, y), x Е Ii, y = y(x) = G(x, k0) = /4(E(x,k0),k4) = s(E(x, k0)) ф k4, где k0 —истинный ключ, а s — некоторое нелинейное преобразование, зависящее от конкретного алгоритма; ключ j-й итерации вычисляется из ключа (j — 1)-й с помощью функции —: kj = —(kj-1) —нелинейной подстановки на множестве двоичных векторов V128; k4 = = —4(k0). Требуется определить ключ четвёртой итерации k4 = (k4,0,... , k4,15). Опробование ключа будем осуществлять по байтам k4,0,... , k4,15 Е V8. Блок шифртекста разобьём на компоненты по 8 битов: y(x) = (y0(x),... , y15(x)), ym(x) Е V8. Для каждого

индекса m Е {0,... , 15} для каждого варианта k4,m вычисляем s-1 (ym(x) ф k4,m).

xeii

Если эта сумма оказывается не равной нулю, то опробуемый вариант для k4,m отбраковываем. Если в результате ключ определился неоднозначно, то алгоритм можно повторить для другого i.

Итак, пусть у нас имеется отображение G : V128 х V128 ^ V128, G = /1/2/3/4. При фиксированном k0 Е V128 отображение Gko(x) = G(x, k0) : V128 ^ V128 является биективным. Очевидно, что G(x, k0) = s о E(x, k0) ф —4(k0).

Теорема 2. Необходимым условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций получить информацию о k4,j, является то, что при любом фиксированном ключе k0 Е V128 для отображения E(x,k0) = (g1(x),... ,g128(x)), где gm(x) : V128 ^ V1, m Е {1,... , 128}, существует вектор а Е V8 \ {0}, такой, что для любого (в1,... , в120) Е V120 в обозначениях [18] выполняется

"(а, (g1+8j ,...,g8+8j ))f11;;i210o I = 128 для некоторого I = {1,... , 128} \ {8j + k : k = 1,... , 8} = {i1,..., i120}.

Следствие 3. Необходимым условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций получить информацию о k4,j, является то, что в условиях теоремы 2 существует непустое множество J С {1 + 8j,..., 8 + 8j}, такое, что w/ (E(x, к0)) = 128.

Следствие 4. Необходимым условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций получить информацию о k4,j, является то, что в условиях теоремы 2 существует непустое множество J С {1 + 8j,..., 8 + 8j}, такое, что A^(E(x, к0)) = 0.

Нас интересует, в каком случае выполняется равенство

Int (к4,,-, j) = Е s-1(y-(x) 0 kAJ) = 0.

xeii

Очевидно, что это произойдёт, если байт ключа угадан верно.

Следствие 5. Необходимым условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций получить информацию о k4,j, является то, что существуют такие x1,x2 G /¿, x1 = x2, что Vj(x1) = Vj(x2).

Теорема 3. Необходимым условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций получить информацию о k4,j для некоторого j G {0,... , 15}, является то, что отображение s является нелинейной подстановкой.

Рассмотрим мультимножество {Vj(x) : x G I^}, где (y0(x),... ,y15(x)) = G(x, к0), состоящее из 256 элементов, и его подмножество (уже не являющееся мультимножеством)

Y* = {a G V8 : |{x G 1г : у (x) = a}| = 2к - 1, к G N}.

Теорема 4. Необходимым условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций получить информацию о k4,j, является то, что множество Y* не пусто.

Пусть I* —произвольное подмножество I, такое, что {yj(x) : x G I*} = Yj*. Очевидно, что

Int (k4,j, j) = Е s-1(Vj(x) 0 k4,j) = Е s-1(Vj (x) 0 k4,j). xeii xei*

Следовательно, можно модифицировать технику применения интегрального метода тем, что интеграл будет вычисляться по меньшему множеству I*.

Рассмотрим отображение

Tj(k4) = E s-1(Vj(x) 0 k4,j), Tj(k4) : V8 ^ V.

xei*

Теорема 5. Необходимым условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций получить информацию о k4,j, является то, что существует такой элемент a G V8, что Tj (a) = 0.

Теорема 6. Достаточным условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций найти k4,j, является то, что существует единственный элемент в G V8, такой, что Tj (в) = 0.

В рамках исследования интегрального метода проведено 16 наборов экспериментов для редуцированного до четырёх раундов алгоритма по схеме из [20], в которых в качестве набора открытых текстов взято множество из 256 векторов /0 = (ж = (х0,... , х15) € Т128}, где х0 принимает все значения из Т8, а остальные xj• равны нулю. На фиксированных множествах из 256 ключей (к0}г, ^ € (1,... , 16}, вычислялось множество шифртекстов (у = (у0(х),... , у15(х)) = С(х, к0) : ж € /0}, а затем для заданного номера байта ] = ] (¿) для всех к4а- € V8 вычислялся интеграл

Ш;(к4а-, /0) = Е 5-1 (yj(ж) ф к4^-). Среди тех к4^-, для которых Ш;(к4^, /0) обращал-

хе1о

ся в ноль, обязательно содержится истинный байт четвёртой итерации ключа, но он далеко не всегда единственен. В каждом из наборов экспериментов для каждого ключа из (к0}4 подсчитывалось, на скольких байтах k4,j интеграл 1П;(к4а-, /0) обращался в ноль. В качестве множеств (к0} = {(кд,0,..., кд,15) € У128 : к0,г € Т/8,1 € (0,... , 15}}* брались векторы, у которых байт кд т принимал все значения из Т8 при фиксированном т = т(£) = ] (¿), а остальные байты равны нулю. Данные экспериментов сведены в таблицу, в которой приведено количество ключей из множества (кд , для которых интеграл 1п1(к4а-, /0) равен нулю на V байтах при всех V € (1,..., 7}.

t j (t) v

1 2 3 4 5 6 7

1 0 97 88 49 15 7 0 0

2 1 102 97 37 11 7 2 0

3 2 102 89 38 21 4 2 0

4 3 86 97 51 17 4 1 0

5 4 104 95 42 9 5 1 0

6 5 95 93 47 17 3 1 0

7 6 82 109 47 11 5 2 0

8 7 80 105 45 18 8 0 0

9 8 102 86 42 22 3 1 0

10 9 110 85 43 16 2 0 0

11 10 95 93 54 10 2 1 1

12 11 102 85 52 12 5 0 0

13 12 106 89 48 11 2 0 0

14 13 86 106 44 16 4 0 0

15 14 91 105 40 17 3 0 0

16 15 83 97 52 12 12 0 0

ЛИТЕРАТУРА

1. Жуков А. Е. Легковесная криптография. Ч. 1 // Вопросы кибербезопасности. 2015. №1(9). С. 26-43.

2. Жуков А. Е. Легковесная криптография. Ч. 2 // Вопросы кибербезопасности. 2015. №2(10). С. 2-10.

3. Романченко А. М. Метод оценивания результатов криптоанализа блочного шифра // Труды СПИИРАН. 2015. №2(39). С. 101-108.

4. Hu Y., Zhang Y, and Xiao G. Integral cryptanalysis of SAFER+ // IET Electronics Let. 1999. V. 35. No. 17. P. 1458-1459.

5. Daemen J., Knudsen L. R., and Rijmen V. The block cipher Square // LNCS. 2002. V. 2365. P. 112-127.

6. Lai X. Higher order derivatives and differential cryptanalysis // Communications and Cryptography. Springer Intern. Ser. Engin. Comput. Sci. 1994. V. 276. P. 227-233.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

7. Collard B. and Standaert F.-X. A statistical saturation attack against the block cipher PRESENT // LNCS. 2009. V. 5473. P. 195-210.

8. Шнайер Б. Прикладная криптография: протоколы, алгоритмы и исходный код. М.: Альфа-книга, 2019. 1024с.

9. Aldа F., Aragona R., Nicolodi L., and Sala M. Implementation and improvement of the partial sum attack on 6-round AES // Physical and Data-Link Security Techniques for Future Communication Systems. Lecture Notes in Electr. Eng. 2016. V. 358. P. 181-195.

10. Сорокин М. А., Пудовкина М. А. О почти совершенных нелинейных преобразованиях и разделяющем свойстве мультимножеств // Прикладная дискретная математика. Приложение. 2019. №12. С. 237-239.

11. ElSheikh M. and Youssef A. M. Integral cryptanalysis of reduced-round tweakable TWINE // LNCS. 2020. V. 12579. P. 485-504.

12. Hebborn P., Lambin B., Leander G., and Todo Y. Strong and tight security guarantees against integral distinguishers // LNCS. 2021. V. 13090. P. 362-391.

13. Knudsen L. R. and Wagner D. Integral cryptanalysis (extended abstract) // LNCS. 2002. V. 2365. P. 112-127.

14. Kiryukhin V. A. Related-key attack on 5-round Kuznyechik // Математические вопросы криптографии. 2020. Т. 11. №2. С. 53-67.

15. Ferguson N., Kelsey J., Schneier B., et al. Improved cryptanalysis of Rijndael // LNCS. 2000. V. 1978. P. 213-230.

16. D'Halluin C., Bijnens G., Rijmen V., and Preneel B. Attack on six rounds of Crypton // LNCS. 1999. V. 1636. P. 46-59.

17. Лось А. Б., Нестеренко А. Ю., Рожков М. И. Криптографические методы защиты информации. М.: Юрайт, 2018, 473 с.

18. Панков К. Н. Оценки скорости сходимости в предельных теоремах для совместных распределений части характеристик случайных двоичных отображений // Прикладная дискретная математика. 2012. №4(18). C. 14-30.

19. Панков К. Н. Уточнённые асимптотические оценки для числа (n, m, к)-устойчивых двоичных отображений // Прикладная дискретная математика. Приложение. 2017. №10. C. 46-49.

20. Бабенко Л. К., Ищукова Е. А. Современные алгоритмы блочного шифрования и методы их анализа. М.: Гелиос АРВ, 2006. 376с.

УДК 519.7 + 004.056.55 DOI 10.17223/2226308X/15/16

СВОЙСТВА XS-СХЕМ, СВЯЗАННЫЕ С ГАРАНТИРОВАННЫМ

ЧИСЛОМ АКТИВАЦИЙ1

Д. Р. Парфенов, А. О. Бахарев, А. В. Куценко, А. Р. Белов, Н.Д. Атутова

Гарантированное число активаций является важной криптографической характеристикой, позволяющей получить оценку стойкости блочного шифра к разностному криптоанализу. В работе исследован один из алгоритмов (Агиевич, 2020) поиска числа гарантированных активаций XS-схем. Предложен подход к оптимизации существующего решения с помощью метода ветвей и границ, а также анализа специальных матриц, характеризующих XS-схему. Для нескольких шифров проведены вычислительные эксперименты, которые демонстрируют существенное

1 Работа выполнена при поддержке Математического центра в Академгородке, соглашение с Министерством науки и высшего образования РФ №075-15-2022-281.

i Надоели баннеры? Вы всегда можете отключить рекламу.